方程式组织泄漏大量针对Windows攻击工具威胁

2017-04-15

发布者：海王捕鱼

北京时间4月14日晚间，Shadow Brokers组织公布了此前窃取的部分方程式（Equation Group）组织的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖，因为这部分文件包含了数个令人震撼的黑客工具，用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分：Windows Swift以及Odd。

其中Windows目录下的黑客工具包含了IIS 6.0远程漏洞的利用；SMB1的重量级利用，可以用来攻击开放了445端口的Windows系统并且提权；RDP服务远程漏洞的利用，可以攻击开放了3389端口的Windows机器等等。开放了1354453389等端口的Windows服务器有很大概率受到攻击。

方程式组织据说是美国国家安全局(NSA)下属的一个黑客组织，拥有着超高的技术以及大量黑客工具。这次泄漏出来的漏洞攻击工具覆盖了全球绝大部分的Windows服务器，且任何人均可以下载直接利用，但是微软（Microsoft）官方也随即在北京时间15日发布公告，表示针对Windows系统的攻击已经大部分在之前的系统升级补丁中解决。

附录

相关端口说明：

135：

135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

137：

137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。137端口属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

139：

139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows”文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

445：

445端口也是一种TCP端口，该端口在windows 20XX Server系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。

3389：

3389端口是Windows 20xx Server远程桌面的服务端口，可以通过这个端口，用”远程桌面”等连接工具来连接到远程的服务器，如果连接上了，输入系统管理员的用户名和密码后，将变得可以像操作本机一样操作远程的电脑，因此远程服务器一般都将这个端口修改数值或者关闭。

声明

本安全公告仅用来描述可能存在的安全问题，海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经海王捕鱼允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

<<上一篇

Linux内核二次校验计算远程代码执行漏洞

>>下一篇

Jackson框架Java反序列化远程代码执行漏洞